ペンタセキュリティ、Webアプリケーション脅威解析報告書を通じてウェブ攻撃動向を解説
[16/10/13]
提供元:DreamNews
提供元:DreamNews
毎月同社のR&DセンターがWebアプリケーションの脆弱性情報を分析・解説
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は10月13日、Webアプリケーションの脆弱性情報を同社のR&Dセンターが分析・作成した月間レポートである「Webアプリケーション脅威解析報告書8月号」を公開しました。
ペンタセキュリティでは、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報を同社のR&Dセンターのデータセキュリティチームの分析により、最近のWeb脆弱性トレンドを一般の大衆も解かりやすく解析した「Webアプリケーション脅威解析報告書(以下、EDBレポート)」を毎月発刊しています。
2016年8月号のレポートによると、確認された攻撃件数は全部で36件。内訳としては、クロスサイトスクリプティング(Cross Site Scripting:XSS)の12件が最多。SQL インジェクション(SQL Injection)が10件、コマンド インジェクション(Command Injection)が5件、ローカルファイル挿入(Local File Inclusion:LFI)が4件、ディレクトリトラバーサル(Directory Traversal)とリモートコマンド実行(Remote Command Execution)が各2件、ファイルアップロード(File Upload)が1件報告されています。
また危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が3件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が33件でした。
攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が3件、攻撃自体は難しくないが迂回コードを利用する「中」が12件、1回のリクエストなどで攻撃が実行できる「易」が32件でした。
攻撃対象となったWebアプリケーションごとの件数は、WSO2 Carbonが最多の7件、Nagios Network AnalyzerとWordpressが5件、Sakaiが4件、Nagios Incident Manager、NUUO NVRmini、FreePBXが2件、Navis WebAccess、Nagios Log Server、PHP Power Browse、chatNow、phpCollab CMS、Davolink、Subrion CMS、ZabbixおよびWebNMS Framework Serverが各1件でした。
同レポートによると、報告件数が最も多かったクロスサイトスクリプティングについて、8月に見られた攻撃は単にスクリプトを使用したり、イメージタグを使用するなど、攻撃難易度や危険度の側面ではレベルの高い攻撃パターンではなかったことが分かりました。
しかし、クロスサイトスクリプティングの攻撃は、スクリプトおよび特定タグが実行されると脆弱な部分に多様なコードが挿入できるものであるため、スクリプトおよびタグなどの実行自体ができないようにする必要があります。そのため、脆弱性が発見された該当ソフトウェアを使用する管理者はそのスクリプトおよびイメージタグが実行されるかを確認した後、必ずセキュアコーディングおよびアップデートを行うことが必要だと提言しました。
また、クロスサイトスクリプティング以外の脆弱性としては、Linux Bashの脆弱性として知られるShellShockが発見されたという。Linux Bash攻撃パターンは主にHTTP Headerに入り、CGIが実行される際に任意の命令語を実行するというもの。2014年に初めて発見されたShellShockの脆弱性は、OpenSSLの脆弱性であるHeartBleed脆弱性以上に波及力が大きな脆弱性だったが、現在はBash Updateを最新に実施することで解決することができるとしています。また。古いバージョンのLinuxを使用している管理者に対しても、規模の大きいセキュリティ事故とならないよう、セキュリティアップデートを実施するようコラムではアドバイスを送っています。
※本記事の内容は、ペンタセキュリティの8月EDBレポートを基にしてマイナビ―編集部から作成したものです。
※同レポートの全文は、ペンタセキュリティのウェブサイト(http://www.pentasecurity.co.jp/wp/?page_id=3896)からダウンロードできます。
本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は10月13日、Webアプリケーションの脆弱性情報を同社のR&Dセンターが分析・作成した月間レポートである「Webアプリケーション脅威解析報告書8月号」を公開しました。
ペンタセキュリティでは、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報を同社のR&Dセンターのデータセキュリティチームの分析により、最近のWeb脆弱性トレンドを一般の大衆も解かりやすく解析した「Webアプリケーション脅威解析報告書(以下、EDBレポート)」を毎月発刊しています。
2016年8月号のレポートによると、確認された攻撃件数は全部で36件。内訳としては、クロスサイトスクリプティング(Cross Site Scripting:XSS)の12件が最多。SQL インジェクション(SQL Injection)が10件、コマンド インジェクション(Command Injection)が5件、ローカルファイル挿入(Local File Inclusion:LFI)が4件、ディレクトリトラバーサル(Directory Traversal)とリモートコマンド実行(Remote Command Execution)が各2件、ファイルアップロード(File Upload)が1件報告されています。
また危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が3件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が33件でした。
攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が3件、攻撃自体は難しくないが迂回コードを利用する「中」が12件、1回のリクエストなどで攻撃が実行できる「易」が32件でした。
攻撃対象となったWebアプリケーションごとの件数は、WSO2 Carbonが最多の7件、Nagios Network AnalyzerとWordpressが5件、Sakaiが4件、Nagios Incident Manager、NUUO NVRmini、FreePBXが2件、Navis WebAccess、Nagios Log Server、PHP Power Browse、chatNow、phpCollab CMS、Davolink、Subrion CMS、ZabbixおよびWebNMS Framework Serverが各1件でした。
同レポートによると、報告件数が最も多かったクロスサイトスクリプティングについて、8月に見られた攻撃は単にスクリプトを使用したり、イメージタグを使用するなど、攻撃難易度や危険度の側面ではレベルの高い攻撃パターンではなかったことが分かりました。
しかし、クロスサイトスクリプティングの攻撃は、スクリプトおよび特定タグが実行されると脆弱な部分に多様なコードが挿入できるものであるため、スクリプトおよびタグなどの実行自体ができないようにする必要があります。そのため、脆弱性が発見された該当ソフトウェアを使用する管理者はそのスクリプトおよびイメージタグが実行されるかを確認した後、必ずセキュアコーディングおよびアップデートを行うことが必要だと提言しました。
また、クロスサイトスクリプティング以外の脆弱性としては、Linux Bashの脆弱性として知られるShellShockが発見されたという。Linux Bash攻撃パターンは主にHTTP Headerに入り、CGIが実行される際に任意の命令語を実行するというもの。2014年に初めて発見されたShellShockの脆弱性は、OpenSSLの脆弱性であるHeartBleed脆弱性以上に波及力が大きな脆弱性だったが、現在はBash Updateを最新に実施することで解決することができるとしています。また。古いバージョンのLinuxを使用している管理者に対しても、規模の大きいセキュリティ事故とならないよう、セキュリティアップデートを実施するようコラムではアドバイスを送っています。
※本記事の内容は、ペンタセキュリティの8月EDBレポートを基にしてマイナビ―編集部から作成したものです。
※同レポートの全文は、ペンタセキュリティのウェブサイト(http://www.pentasecurity.co.jp/wp/?page_id=3896)からダウンロードできます。
本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201